WPScan é uma daquelas ferramentas que foram desenvolvidas em ruby para realizar um escaner em blogs baseados em wordpress, com um pequeno detalhe, ele também realiza uma série de ataques.
As features do WPScan são:
Username enumeration (from author querystring and location header)
Weak password cracking (multithreaded)
Version enumeration (from generator meta tag)
Vulnerability enumeration (based on version)
Plugin enumeration (2220 most popular by default)
Plugin vulnerability enumeration (based on version) (todo)
Plugin enumeration list generation
Other misc WordPress checks (theme name, dir listing, …)
Pré-requisitos para os diversos sistemas operacionais:
Installing on Debian/Ubuntu:
sudo apt-get install libcurl4-gnutls-dev
sudo apt-get install libopenssl-ruby
sudo gem install typhoeus
sudo gem install xml-simple
Installing on other nix: (not tested)
sudo gem install typhoeus
sudo gem install xml-simple
Installing on Windows: (not tested)
gem install typhoeus
gem install xml-simple
Installing on Mac OSX:
sudo gem install typhoeus
sudo gem install xml-simple
Depois é só executar :
svn checkout Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... wpscan
cd wpscan
ruby wpsca.rb
O vídeo abaixo demonstra como realizar um Password Brute forcer em um blog baseado em WordPress:
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
As features do WPScan são:
Username enumeration (from author querystring and location header)
Weak password cracking (multithreaded)
Version enumeration (from generator meta tag)
Vulnerability enumeration (based on version)
Plugin enumeration (2220 most popular by default)
Plugin vulnerability enumeration (based on version) (todo)
Plugin enumeration list generation
Other misc WordPress checks (theme name, dir listing, …)
Pré-requisitos para os diversos sistemas operacionais:
Installing on Debian/Ubuntu:
sudo apt-get install libcurl4-gnutls-dev
sudo apt-get install libopenssl-ruby
sudo gem install typhoeus
sudo gem install xml-simple
Installing on other nix: (not tested)
sudo gem install typhoeus
sudo gem install xml-simple
Installing on Windows: (not tested)
gem install typhoeus
gem install xml-simple
Installing on Mac OSX:
sudo gem install typhoeus
sudo gem install xml-simple
Depois é só executar :
svn checkout Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... wpscan
cd wpscan
ruby wpsca.rb
O vídeo abaixo demonstra como realizar um Password Brute forcer em um blog baseado em WordPress:
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
fonte: coruja de ti
Comment